CVE-2026-53641 in FOSSBilling
Zusammenfassung
von VulDB • 07.07.2026
FOSSBilling ist ein kostenloses Open-Source-Billing- und Kundenverwaltungssystem. Die Versionen 0.6.0 bis 0.7.2 weisen eine gespeicherte Cross-Site-Scripting-(XSS)-Schwachstelle in den kundenorientierten Ansichten der E-Mail-Historie von FOSSBilling auf. Der HTML-Inhalt von E-Mails (`content_html`) wird unter Verwendung des Filters `|raw` in ein JavaScript-Templat-Literal gerendert, wodurch alle Ausgabesicherungen (Output Escaping) umgangen werden. Ein Angreifer mit Administratorzugriff kann bösartige JavaScript-Payloads in den E-Mail-Injektion injizieren, die im Browser jedes Clients ausgeführt werden, der seine E-Mail-Historie aufruft. Die Version 0.8.0 enthält eine Korrektur. Es sind einige Workarounds verfügbar. Beschränken Sie den Zugriff auf das Administratorkonto, prüfen Sie die E-Mail-Inhalte in der Datenbank nach verdächtigen Payloads und/oder überwachen Sie Kundendatenkonten auf ungewöhnliche Aktivitäten.
If you want to get best quality of vulnerability data, you may have to visit VulDB.